由于組織擔(dān)心網(wǎng)絡(luò)上連接設(shè)備的激增，私營(yíng)和公共部門應(yīng)該齊心協(xié)力解決物聯(lián)網(wǎng)漏洞。

物聯(lián)網(wǎng)使人們生活的方方面面都在連接到網(wǎng)張。電話、手表、打印機(jī)、恒溫器、燈泡、照相機(jī)和冰箱只是連接家庭和企業(yè)網(wǎng)絡(luò)的少數(shù)設(shè)備。這該產(chǎn)品網(wǎng)絡(luò)似乎旨在使日常工作更加方便；不幸的是，它們的安全性薄弱使網(wǎng)絡(luò)攻擊者容易進(jìn)入。

Thycotic公司首席安全科學(xué)家Joseph Carson說：“物聯(lián)網(wǎng)仍然是網(wǎng)絡(luò)上的計(jì)算機(jī)，但與眾不同。”與傳統(tǒng)的電腦不同，物聯(lián)網(wǎng)設(shè)備的功能非常具體。此外，它們的設(shè)計(jì)價(jià)格便宜且易于部署。隨著越來越多的員工將設(shè)備帶入工作場(chǎng)所并將其連接到Wi-Fi，保護(hù)設(shè)備的挑戰(zhàn)不斷升級(jí)。

Rapid7公司物聯(lián)網(wǎng)研究負(fù)責(zé)人Deral Heiland補(bǔ)充說，過去從未連接到全球互聯(lián)網(wǎng)的企業(yè)設(shè)備現(xiàn)在已成為物聯(lián)網(wǎng)的一部分。他指出了多功能打印機(jī)，他說這長(zhǎng)期以來一直是企業(yè)的安全隱患。現(xiàn)代打印機(jī)可以控制多種功能，通過全球互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)或通過云平臺(tái)進(jìn)行遠(yuǎn)程打印。

他說：“我在許多組織中遇到的一件大事是，‘物聯(lián)網(wǎng)到底是什么？‘十年前不在物聯(lián)網(wǎng)上的東西現(xiàn)在已經(jīng)演變成物聯(lián)網(wǎng)設(shè)備。因此，許多企業(yè)不了解將它們置于風(fēng)險(xiǎn)之中的設(shè)備的全部范圍。”

路由器、打印機(jī)和IP攝像頭是企業(yè)物聯(lián)網(wǎng)安全中討論最廣泛的設(shè)備之一。網(wǎng)絡(luò)犯罪分子正在研究物聯(lián)網(wǎng)攻擊面，弄清楚哪些有效，哪些無效，以及他們?nèi)绾螐倪B接的設(shè)備中獲利。趨勢(shì)科技公司最近發(fā)布的一份報(bào)告揭示了網(wǎng)絡(luò)攻擊者如何從物聯(lián)網(wǎng)中獲利：許多人出售對(duì)內(nèi)置在僵尸網(wǎng)絡(luò)中的被入侵物聯(lián)網(wǎng)設(shè)備的訪問權(quán)；其他人則勒索聯(lián)網(wǎng)工業(yè)設(shè)備的所有者。

特別是，安全專家指出Mirai僵尸網(wǎng)絡(luò)是互聯(lián)設(shè)備安全的轉(zhuǎn)折點(diǎn)。趨勢(shì)科技公司全球威脅通信總監(jiān)JonClay說，未來的Mirai及其變種似乎似乎是最大的。僵尸網(wǎng)絡(luò)在地下針對(duì)這種類型的惡意軟件激發(fā)了創(chuàng)造力：它是開源且免費(fèi)的，因此網(wǎng)絡(luò)攻擊者很容易利用。

他說：“網(wǎng)絡(luò)攻擊面正在逐步增加，并且有太多新設(shè)備上線。”犯罪分子的注意力從勒索軟件或銷售惡意軟件發(fā)展到專門針對(duì)連接設(shè)備的物聯(lián)網(wǎng)，從而使他們對(duì)物聯(lián)網(wǎng)的關(guān)注范圍縮小。

物聯(lián)網(wǎng)威脅的危險(xiǎn)加劇了攻擊者的崛起，他們正在大規(guī)模地瞄準(zhǔn)固件或利用DDoS攻擊中的連接設(shè)備。他們也不必為了產(chǎn)生深遠(yuǎn)的影響而攻擊主要實(shí)體。

Heiland說，組織對(duì)物聯(lián)網(wǎng)安全的態(tài)度類似于幾年前對(duì)智能手機(jī)的態(tài)度。現(xiàn)在，他們還處于改進(jìn)業(yè)務(wù)模型和整合流程以保持安全的初期階段。同時(shí)，出現(xiàn)了標(biāo)準(zhǔn)和法規(guī)，以告知制造商如何從一開始就在這些設(shè)備中內(nèi)置安全性。

企業(yè)和制造商的不足之處

設(shè)備安全性差和攻擊者的濃厚興趣共同驅(qū)使企業(yè)更加關(guān)注物聯(lián)網(wǎng)。Data Tribe公司首席執(zhí)行官M(fèi)ike Janke說：“他們所負(fù)責(zé)的攻擊面已經(jīng)變得如此之大。”有人使用“影子物聯(lián)網(wǎng)”一詞來指代出現(xiàn)在網(wǎng)絡(luò)上的智能手表、耳機(jī)和平板電腦。

Janke說：“這是一個(gè)巨大的痛苦，因?yàn)槭紫?a target="_blank">信息安全官］最終要負(fù)責(zé)。”他指出，大多數(shù)企業(yè)沒有預(yù)算、人員或資源來解決問題。這非常令人沮喪。

Clay補(bǔ)充說，許多公司繼續(xù)與補(bǔ)丁管理工作作斗爭(zhēng)，這增加了挑戰(zhàn)，因?yàn)槲锫?lián)網(wǎng)設(shè)備制造商通常要求用戶應(yīng)用更新。他解釋說：“這些設(shè)備中有很多不是傳統(tǒng)的電腦。即使他們內(nèi)部裝有操作系統(tǒng)和應(yīng)用程序，也不會(huì)像在組織中那樣將它們視為服務(wù)器或電腦。”

Carson建議企業(yè)將物聯(lián)網(wǎng)設(shè)備允許在企業(yè)網(wǎng)絡(luò)中使用之前先考慮它們的功能。它是數(shù)據(jù)采集器還是聚合器？是否可以通過設(shè)備訪問網(wǎng)絡(luò)的其余部分？它會(huì)帶來新的威脅嗎？誰擁有設(shè)備；可以查看或下載數(shù)據(jù)嗎？他建議需要使用安全的設(shè)備才能訪問企業(yè)網(wǎng)絡(luò)。
責(zé)任編輯:tzh